Подключение Azure Stack Hub к Azure с помощью VPN

  • Статья

В этой статье описано, как создать подключения VPN типа "сеть — сеть", чтобы подключить виртуальную сеть в Azure Stack Hub к виртуальной сети в Azure.

Подготовка к работе

Чтобы выполнить конфигурацию подключения, перед началом работы убедитесь в наличии следующих компонентов:

  • Развертывание (с несколькими узлами) интегрированных систем Azure Stack Hub с прямым подключением к Интернету. Доступ к внешнему общедоступному диапазону IP-адресов можно получить напрямую из общедоступного Интернета.
  • Действующая подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись Azure.

Схема VPN-подключения

На следующем рисунке показано, как должна выглядеть конфигурация подключения после завершения:

Конфигурация подключения VPN типа

Примеры значений конфигурации сети

В таблице примеров конфигурации сети показаны значения, которые используются для примеров в этой статье. Эти значения можно использовать или просто просмотреть, чтобы лучше понимать примеры в этой статье:

Значение Azure Stack Hub Azure
Имя виртуальной сети Azs-VNet AzureVNet
Адресное пространство виртуальной сети 10.1.0.0/16 10.100.0.0/16
Имя подсети FrontEnd FrontEnd
Диапазон адресов подсети 10.1.0.0/24 10.100.0.0/24
подсеть шлюза. 10.1.1.0/24 10.100.1.0/24

Создание сетевых ресурсов в Azure

Сначала необходимо создать сетевые ресурсы Azure. Ниже показано, как это сделать на портале Azure.

Создание виртуальной сети и подсети виртуальной машины

  1. Войдите на портал Azure с помощью учетной записи Azure.
  2. Выберите + Create a resource (+ Создать ресурс) на пользовательском портале POC2.
  3. Щелкните Marketplace, а затем выберите Сети.
  4. Щелкните Виртуальная сеть.
  5. На основе значений из таблицы конфигурации сети определите имя, адресное пространство, имя подсети и диапазон адресов подсети Azure.
  6. Создайте группу ресурсов или используйте имеющуюся, выбрав Использовать существующий.
  7. Выберите расположение виртуальной сети. Если вы используете примеры значений, выберите Восточная часть США или укажите другое расположение.
  8. Кроме того, установите флажок Закрепить на панели мониторинга.
  9. Нажмите кнопку создания.

Создание подсети шлюза

  1. Откройте созданный ресурс виртуальной сети (AzureVNet) на панели мониторинга.

  2. В разделе Параметры выберите Подсети.

  3. Щелкните Подсеть шлюза, чтобы добавить подсеть шлюза в виртуальную сеть.

  4. Подсети присвоено имя GatewaySubnet по умолчанию.

    Важно!

    Подсети шлюза являются специальными, и для правильной работы им должно быть присвоено конкретное имя.

  5. Проверьте, указан ли в поле Диапазон адресов адрес 10.100.1.0/24.

  6. Нажмите кнопку ОК, чтобы создать подсеть шлюза.

Создание шлюза виртуальной сети

  1. Выберите + Создать ресурс на портале Azure.
  2. Щелкните Marketplace, а затем выберите Сети.
  3. В списке сетевых ресурсов выберите Шлюз виртуальной сети.
  4. В поле Имя введите Azure-GW.
  5. Чтобы выбрать виртуальную сеть, щелкните Виртуальная сеть. В списке выберите AzureVnet.
  6. Выберите Общедоступный IP-адрес. В открывшейся колонке Выбрать общедоступный IP-адрес щелкните Создать.
  7. В поле Имя введите Azure-GW-PiP и нажмите кнопку ОК.
  8. Убедитесь, что для параметров Подписка и Расположение выбраны правильные значения. Ресурс можно закрепить на панели мониторинга. Нажмите кнопку создания.

Создание ресурса шлюза локальной сети

  1. Выберите + Создать ресурс на портале Azure.

  2. Щелкните Marketplace, а затем выберите Сети.

  3. В списке сетевых ресурсов выберите Local network gateway (Шлюз локальной сети).

  4. В поле Имя введите Azs-GW.

  5. В поле IP-адрес введите общедоступный IP-адрес шлюза виртуальной сети Azure Stack Hub, указанный ранее в таблице конфигурации сети.

  6. В поле Адресное пространство в Azure Stack Hub введите 10.1.0.0/24 и 10.1.1.0/24 для AzureVNet.

  7. Проверьте правильность подписки, группы ресурсов и расположения , а затем нажмите кнопку Создать.

Создание подключения

  1. Выберите + Create a resource (+ Создать ресурс) на пользовательском портале POC2.

  2. Щелкните Marketplace, а затем выберите Сети.

  3. В списке ресурсов выберите Подключение.

  4. В разделе основных параметров установите в поле Тип соединения значение Site-to-site (IPSec) (Сеть — сеть (IPSec)).

  5. Заполните поля Подписка, Группа ресурсов и Расположение, а затем нажмите кнопку ОК.

  6. В разделе Параметры выберите Шлюз виртуальной сети, а затем щелкните Azure-GW.

  7. Выберите Local network gateway (Шлюз локальной сети), а затем щелкните Azs-GW.

  8. В поле Имя подключения введите Azure-Azs.

  9. В поле Общий ключ (PSK) введите 12345, а затем нажмите кнопку ОК.

    Примечание

    Если вы используете другое значение для общего ключа, помните, что оно должно совпадать со значением общего ключа, созданного на другом конце подключения.

  10. Просмотрите раздел Сводка, а затем нажмите кнопку ОК.

Создание настраиваемой политики IPSec

Чтобы Azure соответствовала Azure Stack Hub, требуется пользовательская политика IPSec.

  1. Создайте настраиваемую политику:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Примените политику к подключению:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Создание виртуальной машины

Теперь создайте виртуальную машину в Azure и поместите ее в подсеть виртуальной машины в виртуальной сети.

  1. Выберите + Создать ресурс на портале Azure.

  2. Щелкните Marketplace, а затем выберите Вычисление.

  3. В списке образов виртуальных машин выберите образ Windows Server 2016 Datacenter Eval.

  4. В разделе Основные сведения в поле Имя введите AzureVM.

  5. Введите допустимое имя пользователя и пароль. С помощью этой учетной записи вы войдете на виртуальную машину после ее создания.

  6. Заполните поля Подписка, Группа ресурсов и Расположение, а затем нажмите кнопку ОК.

  7. В разделе Размер выберите размер этого экземпляра виртуальной машины, а затем щелкните Выбрать.

  8. В разделе Параметры можно использовать значения по умолчанию. Прежде чем нажать кнопку ОК, убедитесь, что:

    • выбрана виртуальная сеть AzureVnet;
    • задано значение подсети 10.100.0.0/24.

    Щелкните ОК.

  9. Просмотрите параметры в разделе Сводка, а затем нажмите кнопку ОК.

Создание сетевых ресурсов в Azure Stack Hub

Затем создайте сетевые ресурсы в Azure Stack Hub.

Вход в качестве пользователя

Администратор служб может войти в систему как пользователь, чтобы протестировать планы, предложения и подписки, которые могут использовать их пользователи. Если вы еще не создали учетную запись пользователя, сделайте это перед входом в систему.

Создание виртуальной сети и подсети виртуальной машины

  1. Войдите на пользовательский портал с помощью учетной записи пользователя.

  2. Выберите + Create a resource (+ Создать ресурс) на пользовательском портале POC2.

    Создание виртуальной сети

  3. Щелкните Marketplace, а затем выберите Сети.

  4. Щелкните Виртуальная сеть.

  5. Определите имя, адресное пространство, имя подсети и диапазон адресов подсети на основе значений из таблицы конфигурации сети.

  6. В поле Подписка отображается созданная ранее подписка.

  7. Создайте группу ресурсов или используйте имеющуюся, щелкнув Использовать существующий.

  8. Проверьте значение расположения по умолчанию.

  9. Кроме того, установите флажок Закрепить на панели мониторинга.

  10. Нажмите кнопку создания.

Создание подсети шлюза

  1. На панели мониторинга откройте созданный ресурс виртуальной сети Azs-VNet.

  2. В разделе Параметры выберите Подсети.

  3. Чтобы добавить подсеть шлюза в виртуальную сеть, щелкните Подсеть шлюза.

    Добавление подсети шлюза

  4. По умолчанию подсети присвоено имя GatewaySubnet. Чтобы подсети шлюза функционировали должным образом, они должны использовать имя GatewaySubnet.

  5. Проверьте, задано ли в поле Диапазон адресов значение 10.1.1.0/24.

  6. Нажмите кнопку ОК, чтобы создать подсеть шлюза.

Создание шлюза виртуальной сети

  1. Выберите + Создать ресурс на портале Azure Stack Hub.

  2. Щелкните Marketplace, а затем выберите Сети.

  3. В списке сетевых ресурсов выберите Шлюз виртуальной сети.

  4. В поле Имя введите Azs-GW.

  5. Выберите пункт Виртуальная сеть, чтобы выбрать виртуальную сеть. Выберите Azs-VNet в списке.

  6. Выберите пункт меню Общедоступный IP-адрес. В открывшейся колонке Выбрать общедоступный IP-адрес щелкните Создать.

  7. В поле Имя введите Azs-GW-PiP, а затем нажмите кнопку ОК.

  8. По умолчанию для параметра Тип VPN установлено значение На основе маршрута. Не изменяйте это значение.

  9. Убедитесь, что для параметров Подписка и Расположение выбраны правильные значения. Ресурс можно закрепить на панели мониторинга. Нажмите кнопку создания.

Создание шлюза локальной сети

Концепция шлюза локальной сети в Azure Stack Hub отличается от концепции в развертывании Azure.

В развертывании Azure шлюз локальной сети представляет локальное физическое устройство (в расположении пользователя), с помощью которого выполняется подключение к шлюзу виртуальной сети в Azure. Однако в Azure Stack Hub оба конца подключения являются шлюзами виртуальной сети.

Проще говоря, ресурс шлюза локальной сети предназначен для указания удаленного шлюза на другом конце подключения.

Создание ресурса шлюза локальной сети

  1. Войдите на портал Azure Stack Hub.

  2. Выберите + Create a resource (+ Создать ресурс) на пользовательском портале POC2.

  3. Щелкните Marketplace, а затем выберите Сети.

  4. В списке ресурсов выберите шлюз локальной сети.

  5. В поле Имя введите Azure-GW.

  6. В поле IP-адрес введите общедоступный IP-адрес шлюза виртуальной сети в Azure Azure-GW-PiP. Этот адрес приведен в таблице конфигурации сети.

  7. В поле Адресное пространство созданной виртуальной сети Azure введите 10.100.0.0/24 и 10.100.1.0/24.

  8. Проверьте, выбраны ли правильные значения полей Подписка, Группа ресурсов и Расположение, а затем нажмите кнопку Создать.

Создание подключения

  1. Выберите + Create a resource (+ Создать ресурс) на пользовательском портале POC2.

  2. Щелкните Marketplace, а затем выберите Сети.

  3. В списке ресурсов выберите Подключение.

  4. В разделе основных параметров установите в поле Тип соединения значение Site-to-site (IPSec) (Сеть — сеть (IPSec)).

  5. Заполните поля Подписка, Группа ресурсов и Расположение, а затем нажмите кнопку ОК.

  6. В разделе Параметры выберите Шлюз виртуальной сети, а затем — Azs-GW.

  7. Выберите Local network gateway (Шлюз локальной сети), а затем щелкните Azure-GW.

  8. В поле Имя подключения введите Azs-Azure.

  9. В поле Shared Key (PSK) (Общий ключ (PSK)) введите 12345, а затем нажмите кнопку ОК.

  10. В разделе Сводка нажмите кнопку ОК.

Создание виртуальной машины

Чтобы проверить VPN-подключение, создайте две виртуальные машины: в Azure и в Azure Stack Hub. После создания этих виртуальных машин их можно использовать для отправки и получения данных через туннель VPN.

  1. Выберите + Создать ресурс на портале Azure.

  2. Щелкните Marketplace, а затем выберите Вычисление.

  3. В списке образов виртуальных машин выберите образ Windows Server 2016 Datacenter Eval.

  4. В разделе Основные сведения в поле Имя введите Azs-VM.

  5. Введите допустимое имя пользователя и пароль. С помощью этой учетной записи вы войдете на виртуальную машину после ее создания.

  6. Заполните поля Подписка, Группа ресурсов и Расположение, а затем нажмите кнопку ОК.

  7. В разделе Размер выберите размер этого экземпляра виртуальной машины и щелкните Выбрать.

  8. В разделе Параметры примите значения по умолчанию. Проверьте, выбрана ли виртуальная сеть Azs-VNet и задано ли для подсети значение 10.1.0.0/24. Нажмите кнопку ОК.

  9. Просмотрите параметры в разделе Сводка, а затем нажмите кнопку ОК.

Проверка подключения

После установки подключения типа "сеть —сеть" необходимо проверить, могут ли данные проходить в обоих направлениях. Самый простой способ проверить подключение — выполнить проверку связи:

  • Войдите на виртуальную машину, созданную в Azure Stack Hub, и проверьте связь с виртуальной машиной в Azure.
  • Войдите на виртуальную машину, созданную в Azure, и проверьте связь с виртуальной машиной в Azure Stack Hub.

Примечание

Чтобы убедиться, что вы передаете трафик через подключение "сеть-сеть", проверьте связь через прямой IP-адрес (DIP) виртуальной машины в удаленной подсети, а не виртуальный IP-адрес.

Вход на пользовательскую виртуальную машину в Azure Stack Hub

  1. Войдите на портал Azure Stack Hub.

  2. На панели навигации слева выберите Виртуальные машины.

  3. В списке виртуальных машин найдите созданную ранее виртуальную машину Azs-VM и выберите ее.

  4. В разделе этой виртуальной машины выберите Подключение и откройте файл Azs-VM.rdp.

    Кнопка

  5. Войдите в систему с помощью учетной записи, настроенной при создании виртуальной машины.

  6. Откройте командную строку с повышенными привилегиями Windows PowerShell.

  7. Введите команду ipconfig /all.

  8. В выходных данных найдите IPv4-адрес и сохраните его для дальнейшего использования. Это адрес, с помощью которого вы проверите связь из Azure. В примере среды указан адрес 10.1.0.4, но в вашем окружении он может быть другим. Адрес должен находиться в пределах созданной ранее подсети 10.1.0.0/24.

  9. Чтобы создать правило брандмауэра, позволяющее виртуальной машине реагировать на запросы проверки связи, выполните следующую команду PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Вход на виртуальную машину клиента в Azure

  1. Войдите на портал Azure.

  2. На панели навигации слева выберите Виртуальные машины.

  3. В списке виртуальных машин найдите созданную ранее виртуальную машину Azure-VM и выберите ее.

  4. В разделе виртуальной машины выберите Подключение.

  5. Войдите в систему с помощью учетной записи, настроенной при создании виртуальной машины.

  6. Откройте окно Windows PowerShell с повышенными привилегиями.

  7. Введите команду ipconfig /all.

  8. Должен отобразиться IPv4-адрес, находящийся в диапазоне 10.100.0.0/24. В этом примере окружения используется адрес 10.100.0.4, но вы можете использовать другой адрес.

  9. Чтобы создать правило брандмауэра, позволяющее виртуальной машине реагировать на запросы проверки связи, выполните следующую команду PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. С помощью туннеля проверьте связь виртуальной машины в Azure с виртуальной машиной в Azure Stack Hub. Для этого проверьте связь с прямым IP-адресом, записанным из виртуальной машины Azs-VM. В этом примере окружения используется адрес — 10.1.0.4, но вам следует использовать адрес, записанный в лаборатории. Должен появиться результат как на следующем снимке экрана:

    Успешная проверка связи

  11. Ответ из удаленной виртуальной машины указывает, что проверка выполнена успешно. Окно виртуальной машины можно закрыть.

Кроме того, вам следует провести более тщательное тестирование передачи данных, например копируя файлы различного размера в обоих направлениях.

Просмотр статистики передачи данных через подключение шлюза

Если вы хотите узнать, какой объем данных передается через подключение типа "сеть — сеть", просмотрите раздел Подключение. Эта проверка также позволяет убедиться в том, что проверка связи действительно прошла через VPN-подключение.

  1. На виртуальной машине в Azure Stack Hub войдите на пользовательский портал с помощью учетной записи пользователя.

  2. Щелкните Все ресурсы, а затем выберите подключение Azs-Azure. После этого отобразятся подключения.

  3. В разделе Подключение в полях Входящие данные и Исходящие данные отобразится статистика. На снимке экрана ниже указаны большие числа, что обеспечивает дополнительную передачу файлов. Там будут отображаться ненулевые значения.

    Входящие и исходящие данные

Дальнейшие действия